BLOG | NGINX

Mise à jour de NGINX pour les vulnérabilités dans les modules de streaming vidéo MP4 et HLS

NGINX-Partie-de-F5-horiz-black-type-RGB
Vignette de Prabhat Dixit
Prabhat Dixit
Publié le 19 octobre 2022

Aujourd'hui, nous publions des mises à jour pour NGINX Plus, NGINX Open Source, NGINX Open Source Subscription et NGINX Ingress Controller en réponse aux vulnérabilités récemment découvertes dans les modules NGINX pour le streaming vidéo avec les formats MP4 et Apple HTTP Live Streaming (HLS), ngx_http_mp4_module et ngx_http_hls_module . (L'abonnement NGINX Open Source est une édition spécialement packagée de NGINX Open Source disponible dans certaines zones géographiques.)

Les vulnérabilités ont été enregistrées dans la base de données Common Vulnerabilities and Exposures (CVE) et l' équipe de réponse aux incidents de sécurité F5 (F5 SIRT) leur a attribué des scores à l'aide de l'échelle Common Vulnerability Scoring System (CVSS v3.1).

Les vulnérabilités suivantes dans le module MP4 (ngx_http_mp4_module) s'appliquent à NGINX Plus, NGINX Open Source et NGINX Open Source Subscription.

  • CVE-2022-41741 (Corruption de la mémoire) – Score CVSS 7,1 (élevé)
  • CVE-2022-41742 (Divulgation de mémoire) – Score CVSS 7,0 (élevé)

La vulnérabilité suivante dans le module HLS (ngx_http_hls_module) s'applique uniquement à NGINX Plus.

  • CVE-2022-41743 (Corruption de la mémoire) – Score CVSS 7,0 (élevé)

Des correctifs pour ces vulnérabilités sont inclus dans les versions logicielles suivantes :

  • NGINX Plus R27 P1
  • NGINX Plus R26 P1
  • NGINX Open Source 1.23.2 (ligne principale)
  • NGINX Open Source 1.22.1 (stable)
  • Abonnement Open Source NGINX R2 P1
  • Abonnement Open Source NGINX R1 P1
  • Contrôleur d'entrée NGINX 2.4.1
  • Contrôleur d'entrée NGINX 1.12.5

Toutes les versions de NGINX Plus, NGINX Open Source, NGINX Open Source Subscription et NGINX Ingress Controller sont concernées. Nous vous recommandons fortement de mettre à niveau votre logiciel NGINX vers la dernière version.

Pour obtenir des instructions de mise à niveau de NGINX Plus, consultez Mise à niveau de NGINX Plus dans le Guide d'administration de NGINX Plus. Les clients NGINX Plus peuvent également contacter notre équipe d'assistance pour obtenir de l'aide à l' adresse https://my.f5.com/ .

Lire plus d'articles de blog sur F5 NGINX ›

« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."